(https://i.postimg.cc/s1CGwpz0/Hackers-Patners.png) (https://postimages.org/)
La marca de moda de lujo Chanel anunció que sufrió una filtración de datos que afectó a algunos de sus clientes en Estados Unidos. Chanel envió una carta a sus clientes indicando que el 25 de julio tuvo conocimiento de un incidente de seguridad relacionado con una base de datos estadounidense alojada por un servicio externo.
Esta base de datos, que formaba parte del entorno Salesforce de la compañía, fue accedida por un tercero que obtuvo información de los clientes. Un portavoz de Chanel confirmó el incidente de seguridad, explicando que una investigación reveló un acceso no autorizado a la base de datos.
"Según los hallazgos de la investigación, los datos obtenidos por el tercero no autorizado contenían detalles limitados de un subconjunto de personas que contactaron con nuestro centro de atención al cliente en EE. UU.", se lee en el comunicado.
La compañía afirma que no se utilizó software malicioso en sus sistemas y que sus operaciones diarias no se vieron afectadas. La filtración solo expuso detalles limitados, incluyendo nombres, direcciones de correo electrónico, direcciones postales y números de teléfono de las personas que contactaron con el centro de atención al cliente en EE. UU. Al descubrir el problema, Chanel activó rápidamente sus procedimientos de seguridad y contrató a expertos líderes en ciberseguridad para que colaboraran en la investigación.
BleepingComputer informa que este incidente forma parte de una tendencia más amplia de ataques dirigidos a usuarios de Salesforce, que se ha vinculado a un grupo de ciberdelincuentes conocido como ShinyHunters. Chanel es la última de varias grandes empresas afectadas por estos ataques. Otras marcas de alto perfil, como Adidas y marcas de LVMH como Louis Vuitton, Dior y Tiffany & Co., también han sido blanco de estos ataques.
Estos atacantes no utilizan métodos tradicionales de piratería informática. En su lugar, emplearon ingeniería social para conseguir sus objetivos. En concreto, los delincuentes han estado utilizando una técnica llamada "vishing" o phishing de voz para engañar a los empleados por teléfono para que proporcionen sus datos de acceso o les den acceso a una aplicación maliciosa. Una vez dentro, roban la base de datos y utilizan la información como medio de presión para exigir dinero.
Salesforce, la empresa cuya plataforma fue atacada, ha declarado que sus sistemas no se vieron comprometidos. Explicaron que los problemas no se deben a debilidades en su tecnología, sino a estos ataques de ingeniería social. Salesforce enfatiza que las empresas deben desempeñar un papel fundamental en la seguridad de sus datos, especialmente ante el aumento de este tipo de estafas sofisticadas.
"Salesforce es un tesoro de procesos y datos empresariales regulados y sensibles a la privacidad en ámbitos como la atención al cliente y otros", señaló el Sr. Piyush Pandey, director ejecutivo de Pathlock.
"Esto requiere un alto nivel de análisis sobre cómo se configuran y auditan los controles de acceso, la monitorización y las integraciones con terceros. Las organizaciones deben replantear sus enfoques de gobernanza del acceso en estos entornos, dados estos factores, agravados por la sofisticación de las amenazas modernas", aconsejó.
Fuente:
HackRead
https://hackread.com/shinyhunters-target-chanel-salesforce-data-breach/